网络第5域

一名志愿者如何阻止恶意后门暴露全球Linux系统

字号+作者: 来源:cnBeta.COM 2024-04-03 09:48 评论(创建话题) 收藏成功收藏本文

Linux是世界上使用最广泛的开放源代码操作系统,它在复活节周末勉强躲过了一次大规模的网络攻击,这一切都要归功于一名志愿者。这个后门被植入了最近发布'...

Linux是世界上使用最广泛的开放源代码操作系统,它在复活节周末勉强躲过了一次大规模的网络攻击,这一切都要归功于一名志愿者。这个后门被植入了最近发布的一个名为XZUtils的Linux压缩格式中,这个工具在Linux世界之外鲜为人知,但几乎每个Linux发行版都使用它来压缩大文件,使其更易于传输。如果它的传播范围更广,可能会有数不清的系统被入侵数年之久。pnD品论天涯网

正如ArsTechnica在其详尽的回顾中所指出的,罪犯一直在公开进行该项目,潜伏时间已两年有余。pnD品论天涯网

这个被植入Linux远程登录的漏洞只暴露了自己的一个密钥,因此可以躲过公共计算机的扫描。正如本-汤普森(BenThompson)在《战略》(Stratechery)杂志上写道:"世界上绝大多数电脑都存在漏洞,却无人知晓"。pnD品论天涯网

XZ后门被发现的故事始于3月29日凌晨旧金山的微软开发人员安德烈斯-弗罗因德在Mastodon上发帖并向OpenWall的安全邮件列表发送了一封电子邮件,标题为"上游xz/liblzma中的后门导致ssh服务器被入侵"pnD品论天涯网

Freund是PostgreSQL(一种基于Linux的数据库)的"维护者",他在过去几周的测试中发现了一些奇怪的现象。XZ压缩库的一部分liblzma的加密登录占用了大量CPU。弗罗因德在Mastodon上写道,他使用的所有性能工具都没有发现任何问题。这立刻让他产生了怀疑,他想起了几周前一位Postgres用户对Valgrind(Linux检查内存错误的程序)的"奇怪抱怨"。pnD品论天涯网

pnD品论天涯网

经过一番调查,Freund最终发现了问题所在。弗罗因德在邮件中指出:"上游xz代码库和xz压缩包都被做了后门。恶意代码存在于5.6.0和5.6.1版本的xz工具和库中。"pnD品论天涯网

不久之后,企业级开源软件公司红帽(RedHat)向FedoraRawhide和FedoraLinux40的用户发出了紧急安全警报。最终,该公司得出结论,FedoraLinux40测试版包含两个受影响的xz库版本。FedoraRawhide版本很可能也收到了5.6.0或5.6.1版本。pnD品论天涯网

请立即停止在工作或个人活动中使用任何FedoraRawhide实例。FedoraRawhide将很快恢复到xz-5.4.x,一旦恢复完成,FedoraRawhide实例就可以安全地重新部署了。pnD品论天涯网

尽管免费Linux发行版Debian的一个测试版包含了被破解的软件包,但其安全团队还是迅速采取了行动,将其恢复了原样。"Debian的SalvatoreBonaccorso在周五晚上向用户发出的安全警报中写道:"目前还没有Debian稳定版本受到影响。pnD品论天涯网

弗罗因德后来确认,提交恶意代码的人是两名主要xzUtils开发人员之一,即JiaT75或JiaTan。"鉴于几周来的活动,提交者要么是直接参与其中,要么是他们的系统受到了相当严重的破坏。"弗罗因德在分析中写道:"不幸的是,后者看起来不太可能,因为他们在各种列表上交流了上述'修复'方法。"pnD品论天涯网

JiaT75是一个耳熟能详的名字:他们曾与.xz文件格式的原始开发者LasseCollin并肩工作过一段时间。程序员拉斯-考克斯(RussCox)在他的事件时间轴页面中指出,2021年10月,JiaT75开始向XZ邮件列表发送看似合法的补丁。pnD品论天涯网

几个月后,该计划的其他部分开始展开,另外两个身份,JigarKumar和DennisEns,开始通过电子邮件向科林抱怨漏洞和项目发展缓慢。然而,正如EvanBoehs等人在报告中指出的,"Kumar"和"Ens"从未在XZ社区之外出现过,这让调查人员相信这两个人都是假冒的,他们的存在只是为了帮助贾炭就位,以交付被破解的代码。pnD品论天涯网

pnD品论天涯网

JigarKumar"向XZUtils开发商施压,要求其放弃项目控制权的电子邮件

"我对你的精神健康问题感到遗憾,但意识到自己的极限很重要。我知道这对所有贡献者来说都是一个业余项目,但社区需要更多。"恩斯在一条信息中写道,而库马尔则在另一条信息中说:"在有新的维护者之前,不会有任何进展。"pnD品论天涯网

在这来来回回的过程中,柯林斯写道:"我并没有失去兴趣,但主要由于长期的精神健康问题,也由于其他一些事情,我的照顾能力受到了相当大的限制",并建议贾坦承担更大的角色。"他最后说:"最好记住,这是一个无偿的业余项目。"来自"Kumar"和"Ens"的邮件持续不断,直到那年晚些时候,Tan被添加为维护者,能够进行修改,并尝试将backdoored软件包以更权威的方式发布到Linux发行版中。pnD品论天涯网

xz后门事件及其后果既体现了开放源代码的魅力,也是互联网基础设施中一个引人注目的漏洞。pnD品论天涯网

pnD品论天涯网

流行的开源媒体软件包FFmpeg的开发者在一条推文中强调了这一问题,他说:"xz事件表明,对无偿志愿者的依赖会导致重大问题。价值数万亿美元的公司希望从志愿者那里获得免费的紧急支持"。他们还带来了收据,指出他们是如何处理影响MicrosoftTeams的"高优先级"漏洞的。"pnD品论天涯网

尽管微软依赖其软件,但该开发人员写道:"在礼貌地要求微软提供长期维护的支持合同后,他们却提出一次性支付几千美元......维护和可持续发展方面的投资并不性感,可能不会给中层经理带来升职机会,但多年后会得到成千上万倍的回报"。pnD品论天涯网

关于"JiaT75"的幕后黑手、他们如何实施计划以及破坏程度的详细信息,正在被一大批开发人员和网络安全专业人员在社交媒体和在线论坛上挖掘出来。但是,这一切都离不开许多因使用安全软件而受益的公司和组织的直接资金支持。pnD品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]